— Друзья, прошу не верить сообщениям от меня в Telegram, меня сегодня утром взломали, — многие сталкивались с такими словами от знакомых, а кто-то лично проходил эпизод с утраченным контролем над аккаунтом.
Пострадавший мог иметь весьма сложный пароль, сделанный по всем правилам. Однако это бесполезно, когда злоумышленник получает его в открытом виде. Как в случае со "взломом" социальных сетей: пользователи переходят по поддельной ссылке и сами раскрывают свои секреты.
Риск № 1 любого пароля — это человек, который его знает и использует.
Каким должен быть пароль?
Шок-новость: пароль любой длины и сложности можно подобрать.
Хорошая новость — безопасными считаются такие секретные фразы, поиск которых перебором займёт неразумное время: скажем, 100 или 1000 лет, а может быть и миллиард.
Допустим, 4-символьный пин-код подбирается мгновенно (от 0.001 до 0.03 секунд). Английское слово с заменой некоторых букв цифрами (например, p1ssw0rd) — от пары минут до 8 дней, в зависимости от алгоритма защиты. Сложный пароль из 12 символов разного набора (xR9#kL2!mQ5@) — больше 18 тысяч лет, в лучшем случае. Если к этому времени ваши секреты ещё будут иметь ценность, то, конечно, выбирайте комбинацию длиннее.
Перебор в наше время усложняется тем, что только сильно отставшие от времени сервисы хранят и сопоставляют пароли в начальном виде. Почти повсеместно они преобразуются с помощью математических алгоритмов в уникальные многосимвольные хеши. Подробнее я разбирал это на примере российского алгоритма "Кузнечик".
Конечно, приведённые выше цифры это "скорость света в вакууме". Например, банкомат не позволит сделать более трёх попыток подбора пин-кода. Android или iOS будут увеличивать интервал между вводами, при неправильных вариантах. С другой стороны, даже относительно сложный пароль (его хеш) — P@ssw0rd!2026 — в некоторых ситуациях может быть подобран за несколько дней или недель, когда сервис использует устаревшие алгоритмы шифрования или он оказался в словаре "утёкших" данных.
Пароль длиной от 15 символов, включающий цифры, буквы и спецсимволы, обеспечивает безопасность данных для большинства повседневных жизненных ситуаций.
Слабое звено — не пароль, а его телохранитель
Сложно придумать длинную секретную фразу, а тяжелее её запомнить.
Допустим, политикой безопасности нас заставляют использовать что-то подобное: "C#X#DE@FAV#cC8OHywt1". Кажется идеальным: 20 символов всех вариаций, случайная комбинация и нет зацепок для "масок" (маски — это типовые значения, которые люди используют в паролях: даты рождений, имена, год его создания. Использование масок при подборе ускоряет успешный результат).
Правда в том, что если пользователь не пользуется менеджером паролей и (или) должен каждый раз его вводить вручную, то лень толкает его к упрощению способа хранения. Редкий человек запомнит такую фразу. Так появляются стикеры на компьютере с секретными данными или записи в лежащем рядом блокноте.
Домучить пользователя можно требованием регулярно менять такой пароль. Это гарантировано приведёт к повышению риска утечки.
Сложный пароль, который создаётся и используется без учёта человеческого фактора — это плохой пароль.
Вот примеры паролей, которые легко запомнить, а подобрать также сложно:
- myCatSleepsAt5amDaily (20 символов)
- cactus phone ladder whiskey mars (набор слов, разделённых пробелами или другими символами)
К слову, многие не задумываются, что пробел — это символ, который в наши дни тоже допускается при составлении паролей.
Скажем, для первого варианта при переборе по самому слабому алгоритму уйдёт от 3 млн лет. Достаточно, чтобы данные находились в безопасности.
Кроме надёжности пароля и способа его хранения есть и другие риски. Пароль можно подсмотреть. Пользователя можно вынудить ввести нужные данные на подставном сайте. Их можно перехватить, например, общественные Wi-Fi-сети иногда передают данные без шифрования. Вариантов много, но всё же самый распространённый — когда человек отдаёт пароль добровольно, сам, по неосмотрительности.
Способы защиты данных
Пароль как способ защиты уже устарел. Поэтому многие сайты используют авторизацию по номеру телефона или через аккаунты в социальных сетях. На устройствах внедряются отпечатки пальцев, сканирование лица. Для более защищённых систем применяют криптографические подписи и ключи, которые хранятся на флешках.
Хорошая тактика — иметь разные надёжные пароли для каждого сайта или устройства, и хранить их в зашифрованном виде в специальном менеджере паролей. Ещё лучше — использовать двойную систему безопасности. Например, пароль и подтверждение личности с помощью дополнительного одноразового кода (двухфакторная авторизация).
Двухфакторная авторизация существенно уменьшает риск потери контроля над аккаунтом, даже если пароль оказался в руках злодея. Одну дверь открыл, а вторая закрытая.
При двухфакторной авторизации надёжнее использовать TOTP-алгоритм (генерируемые одноразовые коды в приложении) вместо смс-сообщений.
